| 部署型号 | X6510 | ||||
|---|---|---|---|---|---|
| 性能 | 峰值Web流量 <= 2G | ||||
| 部署模式 | 透明网桥 | 反向代理 | |||
| 部署位置(详细参考示意图) | 串联在防火墙之后 | 同F5并联在同一交换机 | |||
| 部线模式 | 双线(网桥多进多出) | 双线(多物理接口,多臂) | |||
| 网络模式 | 二层 | 三层 | |||
| 部署需求 | 网络的集中接入点 | F5增加配置为WAF进行负载均衡 | |||
| 流量不超过单台设备的性能峰值 | 需要梳理每个应用的访问域名清单 | ||||
| 部署示意图 |  |  | |||
| 优点 | 不需要更改现有的网络结构 不需要知道后端的应用类型 拥有较低的时延续 | 易于性能扩展 | |||
| 缺点 | 不易扩展 | 增加时延 改变网络结构 | |||
| 场景 | 维护成本(安全,运维) | WAF配置简单,易于维护 | WAF配置较复杂,可借助API实现自动化 | ||
| 非7层应用流量 | 不进行检测直接转发到后端服务器 | 所有经过流量一定会进行检测 | |||
| 宕机断电 | 断电直通,不影响后面的正常服务 | 无法透传,只能使用wafpool中的其他waf | |||
| 防火墙地址映射后端服务器 | 无影响,均可选择性映射 | 无影响,均可选择性映射 | |||
| SSL卸载 | WAF需要导入应用的SSL证书解密HTTPS (影响性能,可能需要ssl加速卡) | SSL在F5上卸载,WAF仅检测明文HTTP流量 | |||
| 结论 | 优先推荐透明网桥部署模式,其次选择反向代理模式; 在反向代理模式下,优先选择 双臂KRP+LoadBalance双线接单BL | ||||
其实针对反向代理的部署模式,单考虑接线情况就有3-4种部署方式。但是此处并不打算再做讨论了。
连续整理了一天关于最近工作中学习到的东西,虽然还有大部分在整理,但是晚上突然下起了雨,听着伍佰的《被动》,我还搞个蛋的技术。还是放松一下吧。记个Flag。
Flag & ToDo:
- 工作中的感悟和那些年大哥们的教导
- 数据安全架构阅读笔记
- 再谈安全架构
- 数据安全需要什么?
- 浅谈KMS及HSM架构